Kyberhyökkäys 11.6.2019

Lahden kaupungin tietojärjestelmään kohdistettiin kyberhyökkäys 11.6.2019 alkaen. Tämän luvun tiedot perustuvat Lahden kaupungin tietohallintojohtaja Markon Monnin haastatteluun sekä erikseen viitattuihin lähteisiin. Marko Monni toimi Lahden tietohallintojohtajan jo tietoturvapolitiikan laatimisessa 2011 ja jatkaa tehtävässään edelleen. Haastattelun materiaali on tutkijan hallussa.

Lahden kaupungin tietoverkkoa käytetään kaupungin hallintoon sekä eri toimijoiden palveluiden tuottamiseen. Siinä on toimijoina lahden kaupungin konserniin kuuluvan tietohallintoyksikön lisäksi Fujitsu Oy palveluiden toteuttajana sekä DNA tietoliikenneyhteyden ja konesalipalveluiden osalta.

Varsinainen palvelutuotanto on jaettu tietohallintoyksikön ja Fujitsu Oy:n välillä.

Hyökkäyksen alkaessa kaupungin tietoverkko oli muutoksen kohteena, jossa osa palveluista tuotettiin käyttäen kaupungin tietoverkkoa vain siirtotienä palvelutuotannon ja loppukäyttäjän välillä. Tällaisia toimijoita oli muun muassa terveyden huolto hyvinvointikuntayhtymässä (HYKY). Tietoverkko oli mahdollista segmentoida fyysisesti eri osiin, mutta loogista segmentointia ei ollut tehty.

Hyökkäys käynnistyi etäkäyttötyöasemalta työntekijän työmatkalla Tampereella. Työasema-arkkitehtuuri mahdollisti tilanteen, jossa työasema oli VPN-yhteydellä kaupungin tietoverkossa ja toisella yhteydellä julkisessa internetissä yhtä aikaa. Hyökkääjä hyödynsi työasemaa julkisen internetin kautta ja sai haittaohjelma siirrettyä kaupungin tietoverkkoon tämän kautta.

Päästessään kaupungin tietoverkkoon haittaohjelma levisi kaikkiin käytössä olleisiin työasemiin. Työasemien haittaohjelmatunnistus (F-secure) tunnisti haittaohjelman ja eristi sen työasemassa, josta tuli ensimmäinen ilmoitus klo 14.36. Työntekijä sai haittaohjelmasta ilmoituksen kuten myös sen eristämisestä yksittäisessä työasemassa.

Tietoverkossa haittaohjelma pyrki myös pääsemään heikosti suojattuihin palvelimiin ja palveluihin. Verkossa tietokantapalvelimen järjestelmävalvojatunnus (admin) oli jäänyt esiasetustilaan, jossa asennuksen jälkeen käyttäjätunnusta tai salasanaa ei ollut vaihdettu. Haittaohjelma pääsi tietokantapalvelimelle ja sitä kautta levisi myös muihin palvelimiin kuten käyttöoikeuksia ja työasemien käynnistysjärjestystä ohjaavaan palvelimeen (active directory, AD). Tämän vuoksi haittaohjelma pääsi muokkaamaan verkossa kiinni olleitten työasemien käynnistysjärjestystä ja jokaisen käynnistyksen yhteydessä haittaohjelma suoritettiin uudelleen tietoturvaohjelmistosta huolimatta. Toisin sanoen haittaohjelmaa ei voitu poistaa käytössä olleella tietoturvaohjelmistolla eikä sen leviämistä voitu sillä pysäyttää.

Tapahtumaan selvittämiseen osallistuneiden mukaan haittaohjelma myös mahdollisti hyökkääjän pääsyn tietoverkkoon ja palveluihin todennäköisesti raportoimalla löytämänsä heikkoudet hyökkääjälle. Hyökkääjä pääsi näin aktiivisesti vaikuttamaan tapahtumiin hyökkäyksen aikana, josta saatiin myös tieto hyökkäyksen aikana.

Hyökkäyksen takia hyvinvointikuntayhtymä irrotettiin kaupungin verkosta 11.6. klo 20.21. Tämä johti siihen, että muun muassa eri osassa sijainneet sairaanhoidon palvelut eivät toimineet loppukäyttäjällä. Palvelut palautettiin osin klo 23.26, jotta terveydenhuoltoa ei olisi vaarannettu. HYKY irrotettiin kuitenkin uudelleen 12.6. klo 22.30, koska toimintaan osallistuneet asiantuntijat havaitsivat hyökkääjän olevan edelleen aktiivinen tietoverkossa.

F-securen asiantuntijat tunnistivat haittaohjelman 12.6. aamuyöllä ja tekivät ohjelmiston, jolla haittaohjelma saadaan poistettua järjestelmästä. Lupa sovelluksen asentamiseen tietoverkkoon annettiin 12.6. klo 14.00. Varsinaiset poistotoimenpiteet aloitettiin 14.6. klo 18.00, jolloin kaupungin ulkoinen tietoliikenneyhteys suljettiin ja poisto-ohjelmisto suoritettiin koko verkossa kaikilla työasemilla ja palvelimilla. Poisto oli valmis klo 23.02. Tämän jälkeen aloitettiin tietoverkon tietoturvan parantaminen, jotta palveluiden palauttaminen voitaisiin aloittaa tietoturvallisesti. Ensimmäiset verkkopalvelut sallittiin 15.6. aikana.

Haittaohjelman poisto aiheutti hyökkäyksen kohteeksi joutuneiden palvelinten ja työasemien uudelleen asennuksen. Palvelinten uudelleen asennus aiheutti palvelukatkon kaikissa saastuneissa palveluissa. Palveluiden palautus priorisoitiin suuren työmäärän vuoksi 16.6. Loppukäyttäjien työasemat

asennettiin uudelleen ja kaikki käyttäjät pakotettiin ohjelmallisesti vaihtamaan salasanat 27.6.2019. Ensimmäiset ulkoisiin verkkoihin suunnatut yhteydet avattiin 28.6.2019.

Haittaohjelma ei suorittanut mitään aktiivisia toimenpiteitä leviämisen ja hyökkääjän palvelimille pääsyn mahdollistamisen lisäksi työasemilla ja verkossa.

Tämän vuoksi voitiin selvittää tietojärjestelmän lokitiedostoista, ettei verkosta todennäköisesti siirretty arkaluontoista tietoa verkon ulkopuolelle kuin pieniä määriä tai ei ollenkaan.

Lahden kaupunki oli varautunut tietojärjestelmän poikkeustilanteisiin harjoittelemalla toimintaa. Se perusti ohjeistuksensa mukaisesti tilannehuoneen johtamaan toimintaa 11.6. klo 20.00. Tilannehuone jatkoi toimintaa 28.6. saakka ja järjesti tilanteen johdon lisäksi kaupungin sisäisen ja ulkoisen tiedottamisen.

Toiminta johdettiin aluksi tasatunnein pidettävissä kokouksissa ja myöhemmin määräajoin pidettävissä kokouksissa.

Hyökkäyksen selvittämiseen osallistui ensimmäisestä havainnosta saakka kaupungin tietohallinnon lisäksi palveluntuottajan Fujitsu Oy, joka myös dokumentoi tapahtumat. Ulkoisen tietoliikenneyhteyden toimittaja DNA, keskusrikospoliisi KRP ja viestintäviraston kyberturvallisuuskeskus osallistuivat toimintaan 11.6. kuluessa ja F-securen RED-ryhmä 12.6. alkaen.

Hyökkäyksen seurauksena noin 60 % (noin 2000kpl) Lahden kaupungin omistamista ja leasing-sopimuksella käyttämistä työasemista saastui ja jouduttiin uudelleen asentamaan. Osa työasemista korvattiin elinkaarivaihtona uuteen samassa yhteydessä. Kaikki saastuneet palvelimet jouduttiin asentamaan uudelleen ja tietokannat palauttamaan varmuuskopioista. Lisäksi tietoverkon asetuksia muutetiin tietoturvallisesti sekä palvelimilla että tietoa reitittävillä laitteilla ja palomuureissa.

Hyökkäys onnistui teknisesti järjestelmän puutteellisen konfiguraation vuoksi. Tähän liittyviä yksityiskohtia olivat muun muassa loppukäyttäjien työasemien etätyöpöytäratkaisun puutteellinen konfiguraatio, käyttäjien tunnusten hallinta mukaan lukien salasanapolitiikka sekä pääsynhallinnan puutteelliset kontrollit muun muassa palvelimilla ja palomuureissa.

Tietojärjestelmän ja -verkon osalta konfiguraatioita muutettiin hyökkäyksen jälkeen muun muassa seuraavien asioiden osalta:

• Tietoteknisen ympäristön koventaminen – Palvelinverkkojen eriyttäminen

– Palvelimien ja palveluiden kirjautumiskäytäntöjen muuttaminen – Työasemien ohjelmistomuutokset (tietoturva, työasemapalomuuri)

• Tietoliikenneverkon turvallisuuden parantaminen – Tietoliikenneverkon eri osien eriyttäminen

– Tietoliikenteen salliminen ainoastaan tarpeellisiin yhteyksiin – Palomuurisäännöstön läpikäynti ja kriittinen tarkastelu – Tietoliikenteen aktiivinen valvonta

• Käyttäjien kirjautumispalveluiden muutokset

– Salasanojen vaihdon pakotus ja salasanapolitiikan muutos – Pilvipalveluiden kirjautumiskäytännön muutos

• Ympäristön valvonnan tehostaminen

– Splunk, Microsoft Advanced Threat Analytics, F-secure Countercept

Kyberhyökkäyksestä aiheutui Lahden kaupungille joulukuun 2019 alkuun mennessä noin 900 000 € kustannukset, joista noin 600 000 € koostui ulkoisten toimittajien asiantuntijapalveluista. Loput kustannukset koostuvat muun muassa infrastruktuurin uusimisesta.